CIGRAS 2012

Incidentes de Seguridad Informtica

en las Empresas
CSIRT: un modelo de respuesta

Dr. Ing. Gustavo Betarte
gbetarte@tilsor.com.uy
CIGRAS 2012







CIGRAS 2012
Plan de la Presentacin
Motivacin y Contexto
Creacin y operacin de un equipo de
respuesta a incidentes de SI
CSIRT Tilsor
Conclusiones

CIGRAS 2012







CIGRAS 2012
Motivacin

Nuevas tecnologas han revolucionado la forma de proveer servicios y
hacer negocios pero tambin han introducido nuevos riesgos
Es necesario reconocer y asumir que la seguridad total no existe
Incidentes de seguridad informtica son un dato de la realidad y es
necesario desarrollar mecanismos para gestionarlos
La complejidad para realizar un ataque sofisticado ha disminuido
significativamente y la motivacin se ha diversificado e incrementado
Velocidad con la que las empresas y organizaciones puedan
reconocer, analizar y responder a un incidente limitar los daos y
disminuir los costos de recuperacin
CIGRAS 2012







CIGRAS 2012
Contexto
CIGRAS 2012







CIGRAS 2012
Tendencias
Convergencia
Interconexin de sistemas internos
Interdependencia con sistemas externos
Consolidacin hacia estndares abiertos (IP)
Consecuencias
Exposicin de los sistemas (de infraestructuras
crticas) a potenciales ataques de Internet
Nuevos riesgos: conexiones wireless,
mantenimiento remoto por terceros
Ataques pueden tener consecuencias que superen
el valor de la organizacin o compaa, con
consecuencias significativas
CIGRAS 2012







CIGRAS 2012
Desafos de la Seguridad de la Informacin
La Seguridad se ha convertido en un rea
crtica de los Sistemas de Informacin
Cmo encarar este desafo?
Gestin de la Seguridad de la Informacin
Sensibilizacin y Capacitacin
Evaluacin proactiva del nivel de aseguramiento
de las plataformas informticas y de
comunicacin
Gestin de incidentes (qu nivel de criticidad?)
CIGRAS 2012







CIGRAS 2012
Incidentes: Impacto
Reporte Norton Cyber Crime 2011
Daos del orden de los 338.000 M USD
LATAM: Brasil y Mxico son los ms afectados

Reporte ARBOR Networks 2011 Infrastructure Security
Uruguay: Top 2 en BPS y PPS promedio de Misuse DDoS attacks
en LATAM
El 70% de los encuestados nunca intentaron efectuar una
respuesta a un ataque DDoS

Ataques a gran empresa y gobiernos en aumento
Denegacin de servicios (DDoS)
Botnets
Phishing
Defacement
CIGRAS 2012







CIGRAS 2012
Incidentes: Soluciones
Los expertos piden
Centrarse en la deteccin y no nicamente en la
proteccin
Monitorear y gestionar incidentes
Enfocar los esfuerzos de proteccin en los
activos crticos y no slo en el permetro
Apoyo en CERTs/CSIRTs
40% de encuestados tienen CERT o CSIRT
66% colaboran con un CERT nacional

CIGRAS 2012







CIGRAS 2012
CERT/CC: Origen
1988, Internet Worm afecta a un alto
porcentaje de sistemas, dejndolos fuera
de servicio
Se define estrategia para mejorar
respuesta a incidentes de seguridad
informtica
La agencia DARPA crea el CERT/CC en
el SEI de la Carnegie Mellon University
CIGRAS 2012







CIGRAS 2012
CERT/CC: Misin
Responder a incidentes de seguridad en
Internet
Servir como modelo de operaciones para otros
equipos de respuesta
Facilitar la creacin de otros grupos (CSIRTs)
que sirvan a otras comunidades objetivo
(constituencies)
Facilitar la comunicacin/divulgacin de
incidentes informticos y coordinar acciones a
nivel nacional o regional

CIGRAS 2012







CIGRAS 2012
Un enfoque organizacional
para la gestin de
incidentes de seguridad
CIGRAS 2012







CIGRAS 2012
CSIRT: Qu es?

A Computer Security Incident
Response Team (CSIRT) is a service
organization that is responsible for
receiving, reviewing, and responding
to computer security incident reports
and activity. The services are usually
performed for a defined constituency
(CERT/CC)
CIGRAS 2012







CIGRAS 2012
CSIRT: Aspectos fundamentales
Visin/Misin
Objetivos de alto nivel y sus prioridades
Comunidad Objetivo (Constituency)
Destinatarios a los que el CSIRT dar servicios
Servicios
Qu servicios le ofrece el CSIRT a su comunidad
objetivo
Forma de relacionamiento
Forma de cooperacin, coordinacin (o cualquier
interaccin) con otros CSIRTs
CIGRAS 2012







CIGRAS 2012
CSIRT: Comunidad Objetivo
Entidad especfica a la cual el CSIRT sirve
Puede ser acotada o no
Generalmente refleja la fuente de
financiamiento
Relacionamiento con la comunidad objetivo:
Full: el CSIRT tiene autoridad total
Shared: el CSIRT comparte las decisiones
None: El CSIRT no tiene autoridad
CIGRAS 2012







CIGRAS 2012
CSIRT: Tipos de Comunidad Objetivo
Nacionales (CERTuy, ArCERT,
CERT.br,)
Organizacionales: Banco, Telco (CSIRT
ANTEL), Empresa TI (CSIRT Tilsor)
Network Service Provider: ISP (CSIRT
ANTEL)
Tcnicas: el uso de un determinado S.O.
Contractual: quienes adquieren un
servicio
CIGRAS 2012







CIGRAS 2012
CSIRT: Servicios
Ref: CSIRT Services, CERT/CC
CIGRAS 2012







CIGRAS 2012
CSIRT Tilsor
CIGRAS 2012







CIGRAS 2012 CIGRAS 2012
TILSOR



TILSOR Hoy
+250 clientes
entre Organismos
Pblicos y
Empresas
Privadas
+350 mil horas de
consultora en
Tecnologas de la
Informacin
+40 mil horas de
entrenamiento
certificado +13 mil casos
de Soporte
Tcnico
resueltos







CIGRAS 2012
Por qu un CSIRT?
Estrategia de la empresa en Seguridad
Informtica:
Requerimiento interno
Desarrollo de un rea de servicios
Desafos
Consolidar masa crtica experta
Identificar necesidades del mercado
Posicionarse como un referente
CIGRAS 2012







CIGRAS 2012
Comunidad Objetivo
Interna
SGSI de Tilsor
Infraestructura Tecnolgica y Sistemas de
Informacin de Tilsor SA
Servicios reactivos, proactivos y calidad de
seguridad
CIGRAS 2012
Externa
Socios y clientes de Tilsor SA
Servicios proactivos y calidad de seguridad







CIGRAS 2012
Servicios
Reactivos
Gestin de incidentes
Alarmas
Gestin de vulnerabilidades y artefactos
Proactivos
Observatorio tecnolgico
Desarrollo de herramientas
Calidad de seguridad
Sensibilizacin y capacitacin
Evaluacin de seguridad de infraestructuras y
aplicaciones

CIGRAS 2012







CIGRAS 2012
Valor adicional
A la comunidad interna
Apoyo en el proceso de desarrollo de
aplicaciones
Mitigacin de riesgos en los ambientes de
produccin y soporte
A nuestros clientes y socios
Referente a quien acudir
Grupo profesional experto en seguridad
Servicios de consultora con valor agregado
CIGRAS 2012







CIGRAS 2012
Algunos Ejemplos de Incidentes Resueltos
Intento de enrolar servidores de Tilsor en un ataque
DDoS a una empresa extranjera
Estafa: intento de venta forzada de dominio Internet
Problemas de envo de correos debido a inclusin del
ISP de Tilsor en una lista negra
Deteccin proactiva de vulnerabilidades en paquetes
de software utilizados por Tilsor
Anlisis y procesamiento de alertas por infeccin con
Malware reportadas por antivirus
CIGRAS 2012







CIGRAS 2012
Colaboracin y Coordinacin
A nivel nacional
CERTuy (contacto)
CSIRT ANTEL (contacto y colaboracin)
A nivel LATAM
Proyecto AMPARO - LACNIC: Taller de
Gestin de Incidentes itinerante
Reunin CSIRTs LATAm LACNIC
Inicio de relaciones con TBSecurity CERT
(Espaa)
CIGRAS 2012







CIGRAS 2012
Algunas conclusiones
CIGRAS 2012







CIGRAS 2012
Una herramienta eficaz y til
Masa crtica adecuada: dificultad de
montar un equipo de esta caracterstica
Canales de confianza: importancia de la
coordinacin y colaboracin
Con la comunidad objetivo
Entre pares
Interaccin y relacionamiento con el
medio acadmico
CIGRAS 2012







CIGRAS 2012
Preguntas
CIGRAS 2012







CIGRAS 2012
Preguntas














Muchas gracias
CIGRAS 2012